黑客使用KeePass和SolarWinds软件的恶意版本分发RomCom RAT

RomCom RAT恶意软件的运营商正在通过假冒山寨网站分发SolarWinds Network Performance Monitor、KeePass密码管理器和PDF Reader Pro等恶意软件的恶意版本，继续发展他们的活动。

此次行动的目标包括乌克兰和英国等英语国家的受害者。

需要注意的是，所涉及的恶意软件与SolarWinds开发或发布的任何产品无关，而是旧产品的未经许可的“破解”版本。

黑莓威胁研究和情报团队在一份新的分析中表示：“鉴于目标的地理位置和当前的地缘政治形势，RomCom RAT威胁行为者不太可能是出于网络犯罪动机”。

这一最新发现是在一周前，加拿大网络安全公司披露了一项针对乌克兰实体的鱼叉式网络钓鱼活动，目的是部署一种名为RomCom RAT的远程访问木马。

还观察到未知的威胁因素利用先进IP扫描仪和pdfFiller的特洛伊化变体作为滴管来分配植入物。

这项运动的最新一轮需要建立一个域名相似的假网站，然后上传带有恶意软件的恶意软件安装包，然后向目标受害者发送钓鱼电子邮件。

假键盘网站

假太阳风网站

研究人员解释说：“当从伪造的SolarWinds网站下载免费试用版时，出现了合法的注册表格”。

“如果填写完毕，真正的SolarWinds销售人员可能会联系受害者跟进产品试用。这种技术会误导受害者相信最近下载和安装的应用程序是完全合法的”。

这不仅仅是SolarWinds软件。其他模拟版本包括流行的密码管理器KeePass和PDF Reader Pro，包括乌克兰语。

Palo Alto Networks第42部门称，RomCom RAT的使用也与古巴勒索软件和工业间谍相关的威胁行为体有关，该部门正在以星座为主题的绰号Tropical Scorpius追踪该勒索软件附属公司。

鉴于网络犯罪生态系统的相互关联性，这两组活动是否共享任何联系，或者恶意软件是否作为服务提供给其他威胁行为者，目前还不清楚。

黑莓公司的德米特里·贝斯图切夫（Dmitry Bestuzhev）表示：“RomCom与古巴勒索软件和工业间谍组织的明显联系是基于网络配置链接，这也可能被用作干扰”。“考虑到目标的性质和受害者的地理位置，很明显，动机并不是经济动机”。

更新：Palo Alto Networks第42部门表示，他们还发现了一个RomCom RAT实例，该实例被打包为Veeam Backup&托管在名为“wveeam[.]com”的恶意域上的复制软件。

与SolarWinds的情况一样，下载安装程序文件会将受害者重定向到一个提示受害者输入个人详细信息的表单。此外，修改后的安装程序的大小超过10GB，可以绕过自动化安全解决方案。

42单元的首席研究员皮特·雷纳斯在一份声明中告诉《黑客新闻》：“西方中型组织通常使用这些工具”。“根据第42单元对RomCom目标、基础设施和包装的分析，这表明这场运动比APT的重点更广泛”。

“到目前为止，我们只看到古巴勒索软件使用了RomCom恶意软件，”42部队高级威胁研究员Doel Santos进一步补充道。